Le rapport Synack 2026 State of Vulnerabilities, publié le 18 mai, contient un headline contre-intuitif : la défense s'est en fait améliorée. Le mean time to remediate (MTTR) a baissé de 63 jours en 2024 à 38 jours en 2025 — une réduction de 47% sur tous les niveaux de sévérité, avec les vulnérabilités critiques patchées 25 jours plus vite en moyenne. 48 244 CVEs ont été publiés en 2025 (une augmentation de 20% YoY), et les findings haute-sévérité ont monté de 10%. Le framing du rapport renverse cette image : il argue que la gap entre la disponibilité d'un exploit et le déploiement du patch s'est rétrécie parce que les adversaires AI-driven peuvent maintenant operationaliser de nouvelles vulnérabilités en heures, pas en semaines. Le gain défensif compte moins que la gap offense-défense.
Le mécanisme que le rapport pointe, c'est l'AI agentique en rôle offensif — des scanners autonomes qui probent à machine speed, et de l'exploitation code-aware qui convertit un CVE publié en exploit fonctionnel plus vite que les humains pouvaient avant. Le rapport cite React2Shell (CVE-2025-55182), une exécution de code à distance non-authentifiée dans React, comme le genre de finding que les red teams humaines auraient pris des jours à weaponizer et qui maintenant ship en heures. La classe de vulnérabilité la plus commune reste XSS, suivie par les issues d'autorisation/permissions et l'injection de contenu. Ce que le writeup quantifie pas : le vrai chiffre d'heures-to-exploit, le stack d'AI tools utilisé pour y arriver, ou la baseline de comparaison contre du développement d'exploit humain-only. Honest hedge : le claim « heures » est du framing sans méthodologie divulguée.
L'asymétrie a une cause structurelle au-delà de la capabilité AI. Les défenseurs doivent valider les patches en CI, les queue à travers des change windows, et les propager à travers plein de surfaces de production. Les attaquants itèrent contre une cible unique avec zéro coût de rollback. L'AI tilt les deux bords — les défenseurs utilisent du triage automatique style Daybreak (l'outil de validation de vulnérabilités d'OpenAI sorti le 12 mai) ; les attaquants utilisent la même classe de tooling autonome pour prober. Mais l'asymétrie offense-défense sur le coût d'itération favorise l'attaquant par un ordre de grandeur même quand la capabilité est matched. La posture recommandée du rapport Synack : validation continue, probe ta propre surface aussi vite que les adversaires la probent. Le CTO de Synack Dr. Mark Kuhr : « Les organisations qui valident en continu la sécurité à travers leur environnement répondent plus vite et ferment les fenêtres d'exposition critiques plus tôt. »
Lundi matin : si tu shippes des services internet-facing sur React, check ton exposition à CVE-2025-55182 maintenant — c'est le genre d'unauth-RCE qui se fait weaponizer dans la hour-window que le rapport décrit. Si t'opères un agent AI internet-facing (browser-use, tool-calling qui touche des sites tiers), ta surface d'attaque inclut l'agent lui-même, qui peut être prompt-injecté pour leak des credentials ou exfiltrer de la data — et la même hours-window s'applique. Le shift actionnable de ce rapport, c'est de la calibration : arrête de mesurer le temps de patch-deployment contre le temps de développement d'exploit de l'année dernière, et commence à budgeter pour des adversaires qui matchent ton patch cadence à machine speed. Panique pas sur le framing « heures » — le vrai chiffre est pas divulgué — mais traite la disponibilité d'exploit comme approximativement real-time pour les CVEs connus.